Quando si naviga in rete, protocolli di sicurezza come TLS o HTTPS svolgono un ruolo fondamentale nella protezione delle comunicazioni, impedendo agli attori malevoli di intercettare o manipolare i dati trasmessi.
Tuttavia, in alcuni casi i cybercriminali possono forzare i sistemi a utilizzare versioni obsolete e vulnerabili deglistessi, mettendo in atto quello che viene definito attacco di downgrade. Così facendo, riescono a sfruttare con maggiore facilità le falle di sicurezza presenti nei protocolli più datati.
In questo articolo analizzeremo nel dettaglio come viene eseguito un attacco di downgrade e quali sono i rischi legati a esso. Infine, vedremo le principali linee guida da adottare per prevenire questo tipo di minaccia.
Dinamica di un attacco di downgrade
I cybercriminali avviano un attacco di downgrade scansionando i sistemi bersaglio per individuare i protocolli in uso e le versioni supportate. L’obiettivo è identificare vulnerabilità legate alla retrocompatibilità, così da scoprire potenziali entry point sfruttabili per condurre l’attacco con successo.
Una volta individuata individuata una versione obsoleta e meno sicura di un protocollo, gli attaccanti forzano il sistema a utilizzarla, approfittando di lacune di configurazione e debolezze. A questo punto, sono in grado di compromettere l’infrastruttura e avviare operazioni malevole come l’intercettazione di dati sensibili o accessi non autorizzati.
Le infrastrutture più colpite sono spesso quelle che si appoggiano a sistemi legacy, mantenuti attivi per garantire compatibilità tra dispositivi. In molti casi, questi componenti non vengono considerati critici, motivo per cui restano esposti e vulnerabili, diventando il bersaglio ideale per questo tipo di attacco.
Tipologie di attacchi downgrade
A seconda del protocolloo del componente preso di mira, gli attacchi di downgrade assumono forme diverse, proprio per adattarsi allo scopo. Una delle tecniche più comuni consiste nel forzare il downgrade del protocollo TLS/SSL durante la fase di handshake, costringendo i dispositivi a ricorrere ad una versione più vecchia e vulnerabile del protocollo. Similmente, i cybercriminali possono eseguire un downgrade della crittografia, obbligando i sistemi a usare algoritmi obsoleti e meno sicuri, facilitando così l’intercettazione e la decifrazione dei dati trasmessi.
Un’altra tecnica è quella legata al downgrade dei meccanismi di autenticazione. In questi casi, gli attaccanti inducono i sistemi a ricorrere a protocolli di autenticazione meno robusti, aumentando il rischio di accessi non autorizzati. Allo stesso modo, può essere colpito anche l’utente finale attraverso il downgrade del browser. In questo caso gli attori malevoli spingono le vittime a utilizzare versioni non aggiornate del browser, prive delle più recenti patch di sicurezza. Questo apre la strada a exploit come l’esecuzione di codice remoto o il furto di sessione.
Inoltre, è molto comune il downgrade dei protocolli di comunicazione, che consiste nel forzare l’utilizzo di protocolli non cifrati, come HTTP al posto di HTTPS. In questo modo, le informazioni scambiate all’interno della rete viaggiano in chiaro, rendendo possibile per i cybercriminali intercettare dati sensibili senza alcuna difficoltà. Questa tecnica è particolarmente efficace in ambienti con configurazioni deboli o reti non protette.
Attacchi di downgrade noti
Nel corso degli anni, diversi attacchi informatici di tipo downgrade hanno dimostrato quanto possa essere rischiosa la retrocompatibilità con protocolli obsoleti. Uno dei più noti è POODLE (Padding Oracle On Downgraded Legacy Encryption), scoperto da Google nel 2014. Questo attacco sfruttava una vulnerabilità nella versione SSL 3.0, forzando i browser a utilizzarla per poi intercettare i dati tramite tecniche man-in-the-middle. La sua scoperta ha spinto molte organizzazioni a disabilitare definitivamente SSL 3.0, in favore di protocolli più sicuri.
Un altro attacco, emerso nel 2015, è FREAK (Factoring RSA Export Keys). In questo caso, i cybercriminali approfittavano di chiavi RSA_EXPORT deboli, imposte durante gli anni Novanta per motivi normativi legati all’esportazione del software. Queste chiavi, ancora supportate da alcuni browser, permettevano agli attaccanti di intercettare e decifrare le connessioni HTTPS, soprattutto su dispositivi Apple e Android. Anche in questo caso, la soluzione è stata quella di rimuovere il supporto alle chiavi deboli nei browser moderni.
Nel 2016 venne scoperto l’attacco DROWN (Decrypting RSA with Obsolete and Weakened eNcryption). Questa tecnica sfruttava server che supportavano ancora SSLv2 per compromettere anche le connessioni TLS più moderne. Si trattava di un attacco cross-protocol in grado di esporre i dati trasmessi, anche quando venivano utilizzati protocolli ritenuti sicuri. Secondo le stime, oltre 11 milioni di siti web sono risultati vulnerabili all’attacco DROWN, evidenziando ancora una volta l’importanza di disattivare i protocolli obsoleti.
Impatto dell’attacco
Quando un attacco di downgrade va a segno, le conseguenze possono essere particolarmente gravi, soprattutto per aziende e organizzazioni. Costringere un sistema a utilizzare protocolli obsoleti rende vulnerabili tutte le comunicazioni, esponendo dati sensibili come documenti riservati, credenziali e informazioni finanziarie.
Oltre al rischio di data breach, questi attacchi possono causare danni economici, tutti legati a furti di dati, distribuzione di malware, compromissione dei sistemi e spese straordinarie per la mitigazione degli incidenti. In molti casi, le aziende colpite sono costrette a interrompere parte delle attività per contenere i danni, riducendo la produttività.
Come spesso accade, il danno si estende poi anche alla sfera legale e reputazionale. La violazione di normative, come il GDPR, può comportare sanzioni di notevole peso, mentre la perdita di fiducia da parte di clienti, partner e investitori mina la credibilità dell’organizzazione nel lungo periodo.
Prevenzione e difesa
Alla luce di quanto abbiamo visto finora risulta evidente come gli attacchi di downgrade possano compromettere in maniera significativa le infrastrutture digitali. Pertanto, al fine di prevenire questa minaccia, le linee guida che si raccomanda di seguire sono:
- Implementare protocolli di crittografia adeguati.
Utilizzare metodi crittografici aggiornati e all’avanguardia aiuta a ridurre il rischio di downgrade, garantendo al tempo stesso una protezione di alto livello per i propri dati. - Utilizzare l’autenticazione multifattore (MFA).
L’autenticazione multifattore garantisce un livello di protezione aggiuntivo in caso di violazione degli account. - Eseguire audit regolari.
Eseguire controlli periodici sui propri sistemi consente di rilevare potenziali vulnerabilità non ancora individuate, in modo da correggerle prima che possano essere sfruttate. - Aggiornare regolarmente i propri programmi e sistemi.
Gli aggiornamenti contengono patch di sicurezza che correggono vulnerabilità note sfruttabili dai cybercriminali per eseguire attacchi informatici. - Adottare soluzioni per il rilevamento delle intrusioni (IDS).
Questi strumenti permettono di rilevare e bloccare in tempo reale eventuali tentativi di downgrade o altre attività anomale all’interno dei sistemi.
- Autore articolo
- Gli ultimi articoli
Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.